Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Essa configuração cria uma associação de segurança IPsec (SA) entre dois hosts na mesma sub-rede para executar a autenticação usando o cabeçalho de autenticação (AH) e o algoritmo de hash Message Digest 5 (MD5). Neste exemplo, a configuração mostrada protege todo o tráfego entre dois hosts vizinhos: Host 1, com o endereço link-local FE80::2AA:FF:FE53:A92C, e Host 2, com o endereço link-local FE80::2AA:FF:FE92:D0F1.
Para usar o IPsec entre dois hosts de link local
No Host 1, crie arquivos de associação de segurança (SAD) e de diretiva de segurança (SPD) em branco usando o comando ipsec6 c. Neste exemplo, o comando Ipsec6.exe é ipsec6 c test. Isso cria dois arquivos para configurar manualmente associações de segurança (Test.sad) e políticas de segurança (Test.spd).
No Host 1, edite o arquivo SPD para adicionar uma política de segurança que proteja todo o tráfego entre o Host 1 e o Host 2.
A tabela a seguir mostra a diretiva de segurança adicionada ao arquivo Test.spd antes da primeira entrada para este exemplo (a primeira entrada no arquivo Test.spd não foi modificada).
Nome do campo do arquivo SPD Valor de exemplo Política 2 RemoteIPAddr FE80::2AA:FF:FE92:D0F1 LocalIPAddr * RemotePort * Protocolo * PortaLocal * ProtocoloIPSec AH IPSecMode TRANSPORTES RemoteGWIPAddr * SABundleIndex NENHUM Direção BIDIRECT Ação APLICAR InterfaceIndex 0 Coloque um ponto-e-vírgula no final da linha ao configurar esta política de segurança. As entradas da apólice devem ser colocadas em ordem numérica decrescente.
No Host 1, edite o arquivo SAD, adicionando entradas SA para proteger todo o tráfego entre o Host 1 e o Host 2. Duas associações de segurança devem ser criadas, uma para o tráfego para o Host 2 e outra para o tráfego do Host 2.
A tabela a seguir mostra a primeira entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego para o Host 2).
Nome do campo do arquivo SAD Valor de exemplo SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA PortoDestino POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 KeyFile Test.key Direção DE SAÍDA SecPolicyIndex 2 Coloque um ponto-e-vírgula no final da linha configurando esta SA.
A tabela a seguir mostra a segunda entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego do Host 2).
Nome do campo do arquivo SAD Valor de exemplo SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA DestPort POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 FicheiroChave Test.key Direção ENTRADA SecPolicyIndex 2 Coloque um ponto-e-vírgula no final da linha ao configurar esta SA. As entradas SA devem ser colocadas por ordem numérica decrescente.
No Host 1, crie um arquivo de texto que contenha uma cadeia de caracteres de texto usada para autenticar as SAs criadas com o Host 2. Neste exemplo, o arquivo Test.key é criado com o conteúdo "Este é um teste". Você deve incluir aspas duplas ao redor da cadeia de caracteres da chave para que a chave seja lida pela ferramenta ipsec6.
O Microsoft IPv6 Technology Preview suporta apenas chaves configuradas manualmente para a autenticação de SAs IPsec. As teclas manuais são configuradas criando arquivos de texto que contêm a cadeia de texto da chave manual. Neste exemplo, a mesma chave para as SAs é usada em ambas as direções. Você pode usar chaves diferentes para SAs de entrada e saída criando diferentes arquivos de chave e fazendo referência a eles com o campo KeyFile no arquivo SAD.
No Host 2, crie arquivos de associação de segurança (SAD) e diretiva de segurança (SPD) em branco usando o comando ipsec6 c. Neste exemplo, o comando Ipsec6.exe é ipsec6 c test. Isso cria dois arquivos com entradas em branco para configurar manualmente associações de segurança (Test.sad) e políticas de segurança (Test.spd).
Para simplificar o exemplo, os mesmos nomes de arquivo para os arquivos SAD e SPD são usados no Host 2. Você pode optar por usar nomes de arquivo diferentes em cada host.
No Host 2, edite o arquivo SPD para adicionar uma política de segurança que proteja todo o tráfego entre o Host 2 e o Host 1.
A tabela a seguir mostra a entrada de diretiva de segurança adicionada antes da primeira entrada no arquivo Test.spd para este exemplo (a primeira entrada no arquivo Test.spd não foi modificada).
Nome do campo do arquivo SPD Valor de exemplo Política 2 RemoteIPAddr FE80::2AA:FF:FE53:A92C LocalIPAddr * RemotePort * Protocolo * LocalPort * ProtocoloIPSec AH ModoIPSec TRANSPORTES Endereço IP do Gateway Remoto * SABundleIndex NENHUM Direção BIDIRECT Ação APLICAR InterfaceIndex 0 Coloque um ponto-e-vírgula no final da linha configurando esta política de segurança. As entradas da apólice devem ser colocadas em ordem numérica decrescente.
No Host 2, edite o arquivo SAD, adicionando entradas SA para proteger todo o tráfego entre o Host 2 e o Host 1. Duas associações de segurança devem ser criadas: uma para o tráfego do Host 1 e outra para o tráfego do Host 1.
A tabela a seguir mostra a primeira SA adicionada ao arquivo Test.sad para este exemplo (para tráfego do Host 1).
Nome do campo do arquivo SAD Valor de exemplo SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA Porto de Destino POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 Ficheiro de Chave Test.key Direção ENTRADA SecPolicyIndex 2 Coloque um ponto-e-vírgula no final da linha que configura esta SA.
A tabela a seguir mostra a segunda entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego para o Host 1).
Nome do campo do arquivo SAD Valor de exemplo SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA DestPorto POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 Ficheiro Chave Test.key Direção DE SAÍDA SecPolicyIndex 2 Coloque um ponto-e-vírgula no final da linha configurando esta SA. As entradas SA devem ser colocadas por ordem numérica decrescente.
No Host 2, crie um arquivo de texto que contenha uma cadeia de caracteres de texto usada para autenticar as SAs criadas com o Host 1. Neste exemplo, o arquivo Test.key é criado com o conteúdo "Este é um teste". Você deve incluir aspas duplas ao redor da cadeia de caracteres para que a chave seja lida pela ferramenta ipsec6.
No Host 1, adicione as políticas de segurança configuradas e as SAs dos arquivos SPD e SAD usando o comando ipsec6 a. Neste exemplo, o comando ipsec6 a test é executado no Host 1.
No Host 2, adicione as políticas de segurança configuradas e as SAs dos arquivos SPD e SAD usando o comando ipsec6 a. Neste exemplo, o comando ipsec6 a test é executado no Host 2.
Ping Host 1 do Host 2 com o comando ping6.
Se capturar o tráfego utilizando o Microsoft Network Monitor ou outro monitor de rede, deverá observar a troca de mensagens de Pedido de Eco ICMPv6 e Resposta de Eco com um cabeçalho de autenticação entre o cabeçalho IPv6 e o cabeçalho ICMPv6.
Tópicos relacionados